SKT 해킹 사건의 진실? : 사이버 작전 리허설이었던 3년간의 침투인가

최근 공개된 SKT 해킹 사건을 분석하면서, 이것이 단순한 개인정보 유출 사건이 아니라는 확신을 갖게 되었다. 일반적인 해킹이라면 금융정보나 개인식별정보를 노린 짧은 기간의 침투를 시도하지만, 이 사건은 3년 간이라는 장기간에 걸쳐 은밀하게 진행되었고, 목표 시스템도 HSS라는 일반 해커로는 그다지 돈이 되지 않는 통신망의 핵심 인프라였다.

 

무엇보다 BPFDoor라는 고도화된 백도어를 사용한 점과 탈취한 데이터의 성격을 보면, 이는 명백히 국가 차원의 전략적 정보수집 작전이었다. 3년간 은밀하게 진행된 이 공격의 실체를 파헤쳐보면, 우리가 직면한 것은 미래 군사작전을 위한 치밀한 준비 과정이 아닐까하는 생각이 든다.

침투의 진짜 목적 : 통신기반 HUMINT 자산 구축

2022년부터 3년간 SKT 시스템에 은닉되어 있던 BPFDoor 백도어는 단순한 해킹 도구가 아니었다. 공격자들이 선택한 침투 지점은 HSS(Home Subscriber Server), 즉 가입자 인증 서버였다. 이는 대한민국 통신망의 심장부에 해당하는 핵심 인프라다.

 

여기서 탈취 가능했던 정보들을 살펴보면 공격의 진정한 의도가 명확해진다. IMSI, ICCID, Ki와 같은 USIM 키 정보는 SIM 카드 복제를 가능하게 한다. IMEI, MAC 주소 같은 기기 정보는 개별 단말기의 고유 식별을 허용한다. 그리고 가장 중요한 것은 이동경로와 통화기록이 담긴 CDR(Call Detail Record) 데이터다. 이를 통해 사용자의 행동 패턴과 인간관계 네트워크를 완전히 파악할 수 있다. (현재까지는 CDR유출은 아직 확인되지 않았다.)

 

이런 정보 조합이 의미하는 바는 명확하다. 이는 단순한 개인정보 유출이 아니라 '통신기반 HUMINT 자산 수집'에 가깝다. 공격자의 목적은 즉시적인 공격이 아니라, 미래 군사적 또는 정치적 국면에서 전술적 우위를 확보하기 위한 장기적 준비였던 것이다.

데이터가 만들어내는 정보적 파괴력

수집된 데이터의 진정한 위험성은 AI 기반 행동 분석과 결합될 때 드러난다. 설혹 개인의 이름을 몰라도 행동 패턴, 위치 정보, 인간관계, 직무 특성을 역추적하여 완전한 프로파일을 구축할 수 있다. 이는 현대 인공지능의 행동 지문 분석 기술을 활용한 것이다.

 

수집된 데이터는 다음 단계에서 전략적으로 활용된다. 관계망 분석을 통해 조직 내 실질적인 권한자를 도출할 수 있고, 동선 예측을 통해 훈련 일정, 이동 계획, 심지어 작전 시점까지 추정 가능하다. 더 나아가 패턴을 교란하거나 스푸핑하여 지휘체계에 혼란을 유도하는 것도 가능하다.

이것은 단순한 해킹이 아니다. 사이버 기반 전쟁 시뮬레이션의 전단계라고 봐야 한다.

국제적 유사 사례들이 보여주는 패턴

해외에서도 유사한 사례들이 반복되고 있다.

2024년 미국에서는 9개 통신사가 해킹당해 문자 메타데이터와 도청 시스템에 침투당했고, 정치 캠프 감시에 활용되었다.

러시아는 우크라이나 장교 가족들을 SNS를 통해 추적하여 군 위치를 파악하고 드론 타격에 활용했다.

중국은 미국 유학생들을 추적하여 연고자를 통해 MSS 요원의 심리적, 위치적 추적을 수행했다.

 

이스라엘은 이러한 정보기술을 다루는 능력이 탁월하다. 하마스 가족들을 감시하여 가족 동선을 통해 은신처를 도출하고 공습을 실행했다. 가족 구성원들의 통신 패턴과 이동 경로를 분석하면 핵심 인물의 은신처나 활동 지역을 역추적할 수 있으며, 이는 정밀 공습의 효과를 극대화하는 핵심 전술이다. 특히 하마스 지도부가 민간인 지역에 은신하고 있는 상황에서, 가족들의 일상적인 동선과 통신 기록을 통해 정확한 위치 정보를 확보하는 것은 매우 효과적인 정보수집 방법이다.

 

이 모든 사례들의 공통점은 비군사적 타깃에서 군사정보를 도출한다는 것이다. 이는 민간 통신망이 군사작전의 핵심 정보원으로 활용되고 있는 현실 및 그 가능성을  보여준다.

한국의 특수한 위험성

한국의 상황은 더욱 복잡하고 만일 성공을 한다면 대단한 과실이 기다리고 있다. 주한미군과 군무원 가족들 중 일부는 한국의 로컬 통신망을 사용한다. SKT 시스템에 침투한 공격자들에게는 이것이 주한미군에 대한 간접적인 HUMINT 수단으로 전환될 수 있다.

특히 지휘권자들의 이동 예측, 비상 연락 구조 추적, 가족을 기반으로 한 군 배치 및 이동 흐름 유출 등이 가능하다. 한국의 통신망이 동북아시아 작전 시 지휘망의 일부라는 점을 고려하면, SKT 사건은 미군 감시 시뮬레이션일 가능성도 배제할 수 없다.

 

최근 2024년 12월 3일 비상계엄 사태는 통신 인프라가 얼마나 중요한 국가 안보 자산인지를 극명하게 드러냈다. 만약 SKT 해킹으로 수집된 데이터가 실제 군사작전에 활용되었다면 어떤 일이 벌어졌을까?

공격자들은 이미 주요 정치인들과 지휘권자들의 통신 패턴, 이동경로, 비상연락망 구조를 파악하고 있었을 것이다.

이번 사태로 인한 주요 군인사나 인물들의 동선을 모두 파악했다면 추후 다른 방식의 위기 상황일때 그들은 우리의 대응방식 및 매뉴얼을 훤히 보게 되어 정밀 통신 타격을 줄 수 있다는 가능성을 생각해 보면  , 이를 통해 수집된 정보가 이런 작전의 효율성을 극대화하는 데 활용될 수 있었다는 점이 매우 우려스럽다.

현재 대응의 구조적 한계

현재까지 공개된 대응 조치들을 살펴보면 심각한 구조적 맹점이 드러난다. USIM 보호서비스 도입으로 피해 고객들에게 ICCID를 재발급하고 있지만, 핵심 키는 이미 탈취되었을 가능성이 높다. 웹셸과 BPF를 제거하는 서버 클린업을 진행하고 있지만, 은닉형 백도어나 루트킷의 존재 가능성은 완전히 배제하지 못한다. 게다가 현재 상태가 이미 먹을 건 다 먹고 난 후의 어질러져있는 식탁을 발견한 건지도 모른다.

 

민관연이 HSS 등 코어망는 물론 모든 서버에 대한 디테일한 점검을 하는 것으로 알고 있다.. 방화벽 정책을 변경하고 포트를 재조정하는 등의 조치를 취하겠지만, 가장 치명적인 문제는 하드웨어 구조 자체는 쉽게 변경할 수 없다는 점이다. 이는 전체적인 정보 지형도가 여전히 노출된 상태로 남아있다는 것을 의미한다.

 

현재의 대응은 마치 문고리를 다시 달고 문을 더튼튼히 설치하고 집 구조는 그대로 둔 상태와 같다. APT 공격자들은 이미 시스템 구조를 완전히 파악했기 때문에, 재침투는 이전보다 훨씬 빠르게 이루어질 가능성이 높다.

결론 : 복구가 아닌 재구축이 필요한 시점

우리는 통신망을 복구했다고 말한다. 하지만 그 복구는 장판만 새로 깐 정도에 불과하다. 침입자는 이미 우리 집의 구조를 외웠고, 지휘계통의 흐름을 읽었고, 전쟁이 났을 때 누가 어디로 이동하는지에 대한 시뮬레이션까지 완료했을지도 모른다.

 

결론은 명확하다. SKT 해킹이 단순한 침입이 아니라 사이버 작전 리허설이 아닐까 하는 생각은 정말 지나친 망상일까?.

우리가 지금 필요한 것은 표면적인 복구가 아니라, 통신 인프라 전반에 대한 근본적인 재구축 및 다시는 침범하지 못하게 하는 근본적 조치를 필요로 한다.

그리고 이것은 더 이상 미룰 수 없는 국가안보의 핵심 과제라고 생각한다.